林務局與奧丁丁集團合作，結合區塊鏈技術推出臺灣林產品追溯系統，消費者只要選購貼有台灣木材標章的合法林產品，用手機掃描上面的QR Code，就能看到該產品的生產過程，不必擔心買到非法的林產品，成為助長盜伐行為的幫兇。

林務局去年便已推動林產品產銷覆歷，現在更進一步採用區塊鏈技術，利用區塊鏈的去中心化、可溯源、不可竄改等特性，紀錄合法林產品的生產歷程，以保障合法業者及消費者的權益，並抑制山老鼠非法盜伐木材產品。

林務局表示，由於禁伐天然林，臺灣紅檜、扁柏等貴重木材身價看漲，吸引不肖商人盜伐，欠缺具公信力的木材生產溯源證明，市面上合法、非法林產品難以辨別，消費者可能在不知情下購買非法林產品，間接助長了盜伐林木的非法行為。

林務局花費2年時間研擬，訂定國產材驗證標章制度，以林產品生產追溯條碼（QR Code），鼓勵國產材業者自主管理，申請QR Code證明使用合法來源的國產材，取得QR Code的木竹材原料或木竹產品，代表可使用合法來源的「臺灣木(竹)材」標章，消費者可以容易辨認。

這套應用區塊鏈技術的林產品追溯系統，在奧丁丁協助下，林務局將原本的林產品發證系統介接區塊鏈，將木材業者一開始取得的國有林林產物的採取許可證、搬運許可證等資料，到後續加工的過程，都紀錄於區塊鏈上，利用區塊鏈不可竄改、溯源等特性，提高合法林產品的公信力。

目前臺灣林產品追溯系統開放業者申請，先由建築中心進行初審，再由林務局複審，審核通過才能取得QR Code及生產覆歷。林務局表示，目前約有40家業者提出申請，17家通過複審。

消費者掃描QR Code，便能看到申請的業者所提供的相關生產資訊，如林材的來源、政府許可的採運許可證、加工業者、商家等等。

目前林產品生產追溯系統開放業者自主提出申請，為增加業者提出申請的誘因，林務局表示，將會重啟自民國104年停止的貴重木標售，未來僅開放給獲得驗證的業者投標，呼籲業者儘快申請。

iPhone 11 Pro被安全專家發現悄悄蒐集用戶的地點資訊，一度被批含糊帶過的蘋果隔日解釋，這是iOS執行Ultra Wideband（UWB）定位及管理而設計的功能。

科技部落客Brian Krebs報導，他在11月間發現今年秋天蘋果推出的iPhone 11 Pro在用戶設定關閉所有app和系統蒐集地點資訊（只開啟「位置服務」）情況下，仍間歇性蒐集用戶地點資訊，但iOS並未顯示是什麼啟動導致訊號傳送。Krebs測試的iPhone 11 Pro搭載的是iOS 13.2.3，但並未在同樣版本的iPhone 8上複製出這個行為。今年9月也有用戶透過蘋果討論區反映類似現象，認為這是iOS 13.x版的隱私臭蟲。

對此蘋果工程師回應，用戶開啟「地點服務」時，狀態列出現地點服務的圖示是正常現象，不是臭蟲。但他說，系統服務圖示在「設定」中並沒有可關閉的滑鈕。然而KrebsonSecuriy認為，蘋果這番解釋語焉不詳，而且也違背了蘋果隱私政策聲稱用戶只要到「設定」下的「位置服務」中關閉，就不會被蒐集地點資訊的說法。

蘋果周四再緊急解釋這並不是隱私臭蟲，也不是什麼神祕不可告人的行為。蘋果說，這個行為和Ultra Wideband（UWB）蒐集空間資訊有關，是為了讓iPhone感知它和其他Ultra Wideband裝置（即所有新版iPhone 11，包括11、11 Pro、Pro Max）的相對位置，以便用戶可將iPhone指向其他iPhone，透過AirDrop進行檔案分享等行為。

Ultra Wideband是低電量短距、高頻寬無線電技術，其優點是高頻寬可傳送大量資訊但不會干擾傳統通訊。蘋果在iPhone 11的網頁中也曾提及，蘋果U1晶片使用UWB技術來實作iPhone 11 系列精確的地點感知，使AirDrop傳送更精準。

另一個原因是管理UWB。該公司解釋，UWB是產業無線通訊技術標準，需獲得許可才能開啟。iOS會定期利用「位置服務」，檢查是否在某些蘋果未獲許可的國家，卻有iPhone開啟了這項功能，並依此關閉UWB。蘋果強調UWB法規遵循及UWB使用地點資訊都是在手機上進行，蘋果並沒有蒐集這些資訊。

不開放UWB的國家並不多，只有像阿根廷、巴拉圭和印尼。

不過蘋果還是妥協了，表示會在之後的iOS更新中，於「系統服務」設定中加入關閉UWB傳輸活動的選項。

美國司法部在本周起訴了在全球散布金融惡意程式的俄羅斯駭客Maksim Yakubets與他的同夥Igor Turashev，宣布高達500萬美元的懸賞獎金，同一天美國財政部也針對相關人士及組織展開制裁。

根據美國與英國的調查，今年32歲的Yakubets從2009年就開始從事駭客行動，在全球散布及部署兩大金融惡意程式：Dridex與Zeus，同時建立殭屍網路來協助攻擊。

Dridex又稱為Bugat或Cridex，可用來破壞受害者電腦上的防毒軟體或安全保護，還可竊取使用者的金融憑證，盜轉受害者帳號中的金錢，再藉由錢螺將錢轉至海外，估計已盜走至少數百萬美元的個人或企業資產。

另一個Zeus同樣屬於金融惡意程式，主要鎖定企業組織，估計曾感染數千台電腦，以竊取金融帳號及密碼，企圖盜走2.2億美元，最後得手7,000萬美元。在Zeus攻擊中，Yakubets負責提供錢螺與盜來的帳號，協助款項的搬運。

美國聯邦陪審團指控Yakubets與Turashev涉及共謀、電腦駭客、電信詐欺及銀行詐欺等罪名。

而美國財政部則將這一幫俄羅斯駭客通稱為「邪惡企業」（Evil Corp），針對與該企業相關的17名個人及7個實體展開制裁，不僅凍結它們的資產，也禁止美國人民與它們交易。

財政部還說，Yakubets不只涉及金融駭客行為，還直接協助俄羅斯政府進行惡意的網路攻擊，彰顯出俄羅斯政府可為了自身的惡意目的，招募犯罪份子。

另一個吸引外界的焦點是，美國國務院與FBI宣布，將提供最多500萬美元的高額懸賞予提供線索以逮捕或將Yakubets定罪的線人。

華為周四向美國上訴法庭控告美國聯邦通訊委員會（Federal Communication Committee，FCC）指控華為產品威脅美國國家安全，不但沒有證據也不合法，希望推翻FCC禁止美國電信業者採購華為設備的命令。

在向美國第五巡迴上訴法院遞交訴狀中，華為以FCC未能提供該公司符合正當法律程序的保障而做出指控為由，要求上訴法庭判決FCC禁令不合法。華為並認為FCC的指控缺乏證據及合理推斷，也違反美國憲法、行政程序法及其他法律。

FCC 11月底通過命令，要求接受美國政府「普及服務基金」（Universal Service Fund，USF）在偏遠地區舖設網路的電信業者，不得向包括華為與中興購買設備與服務，同時也要求業者移除與置換現有兩家業者的網路設備。理由是華為、中興都和中國政府及軍方有密切關係，也需依中國法令協助從事間諜活動，可能在銷售給美國電信業者的網路設備中植入後門，以便中方竊取機密資訊。

上告法院的同時，華為也舉行記者會。華為法務長宋柳平指出，只憑發跡於中國這點就禁止華為，並不能解決網路安全問題。他說，FCC主席在沒有任何證據情況下，就宣稱華為構成安全威脅，枉顧華為和美國偏遠地區電信業者自2018年3月以來提出的事實和反對意見。華為前後21次具文解釋這項決定，將對美國偏遠地區人民和企業造成傷害，但FCC皆置若罔聞。

代表華為的律師Glen Nager則說，此次FCC的決定逾越其法律權責，因為它並無權對國家安全做出判斷或以此限制USF的運用。該公司再次痛批FCC是依據對中國法令的誤解，以及依據偏頗、不可信、令人無法接受的指控和影射的基礎上做出決定，充滿極度偏見。

華為在美國客戶約40家，主要是在蒙大拿、肯塔基及懷俄明州等農牧業為主的小型電信業者。這些地區太偏遠、地理障礙及人口不多，導致主要電信業者不願前往，而由小型電信業者採用較便宜的華為設備架設網路。華為企業溝通部總裁宋凱說，FCC禁止這些業者採購華為產品還要求拆除現有華為設備，將導致這些業者數百萬損失甚至面臨破產。

近年來，「微服務」是非常熱門的技術主題。微服務的好處是：1 可適應業務變化（例如：快速調整業務功能） 2 可適應業務「量」變化（例如：舉辦促銷，業務量大增）。

而微服務的缺點也很明顯：1 設計難度高 2維運難度高。關於「維運難度高」這一點，可以通過各種技術框架和工具來緩解。但第一點「設計難度高」就比較麻煩，因為設計微服務需要對技術和業務都有深度了解，也非常仰賴架構師的經驗和建模方法論。

許多企業都號稱使用微服務，但在我看來往往是假的微服務，主要的問題有三個：1 邊界設計錯誤或太大 2 微服務之間耦合度高 3 介面品質低。

目前看來，似乎大家都是用DDD（領域驅動設計）的方法來設計微服務，但我非常懷疑DDD在此的實際效果（以後有機會再撰文討論）。現在給大家介紹我自己的一個輕量級的方法，其中融合了我的三維技術架構，和運行/分析/控制三位一體思維，我把微服務的設計劃分為十個步驟。

第一步是「場景分解」。我先把整體環境分解為用戶、前端、後端、外部共四層，每一層還分為操作和資料，共有八個象限。把使用場景分解到這八個象限。

第二步是「資料建模」。在所有的場景分解完後，對已經出現在四個資料象限內的資料進行建模，重點在找出資料和資料之間的關係。

第三步是「強一致性的資料聚合」。把第二步裡面的資料模型做聚合體設計，用的是DDD的Aggregate 原則：聚合體內的資料必須有強一致性。把出現在四個操作象限內的操作各自歸類到適合的聚合體內。這一步驟是微服務設計的關鍵任務。

第四步是「X軸（業務）分解」。把第一步四層中的「前端」再分解為UI和App兩層。把第一步四層中的「後端」再分解為API、服務、SPI三層。現在，前端和後端共有五層，分別為：UI、App、API、服務、SPI。

第五步是「Y軸（技術）分解」。把前一步驟的五層，各自獨立分解為業務邏輯層、技術API層、技術服務層、技術SPI層。

第六步是「處理一致性失敗」。當微服務之間的資料一致性出問題時，通常可以先利用「沖正」的方式來處理，如果「沖正」失敗，再人為介入處理。這時候要同時考慮這些後續處理的比例和成本是否過高。如果成本太高，可能甚至需要調整微服務的邊界來把最終一致性變為強一致性。

第七步是「設計訊息瀑布」。徹底解耦的微服務之間是透過訊息溝通的，訊息量可能非常大，甚至衝擊系統穩定。我設計了所謂的訊息瀑布機制，來消除這個問題。在我的訊息瀑布機制中，訊息不會逆流。

第八步是「設計業務大數據」。對於這些系統運作過程中產生的業務資料（數據），在設計微服務的時候，可以同步設想要如何運用這些數據，找出其中的業務價值。

第九步是「Z軸（維運）分解」。把我們的在第五步中分解出來的 20 個象限（5x4）中的微服務，各自分解為程式、容器平台、作業系統、電腦、網路。

第十步是「設計維運大數據」。對於這些系統運行過程中產生的技術資料（數據），在設計微服務的時候，可以同步設想要如何運用這些數據，找出其中的維運價值。

對於微服務，我們必須先認識微服務的優缺點，評估是否需要這些優點，是否可以克服這些缺點，然後再思考是否要用微服務。這篇文章提出十步驟的方法，試圖理出設計思路。通過我的三維架構參考模型，可以幫助你控制微服務的複雜度，不管是在設計上還是在運維上。且第八步和第十步希望做到運行、分析、控制，三位一體，可以讓我們對微服務有更多掌控權。由於文章篇幅關係，我在此只能極度簡單地說明這十個步驟。有需要這方面指導的企業，可以聯繫我。

國發會：臺灣有望2020年獲得GDPR適足性認定，歐盟要求設立個資保護獨立專責機關

歐盟最嚴格個資規範GDPR在去年5月上路後，行政院指示國發會成立個人資料保護專案辦公室，並將個資法的法律主政機關移至國發會，且在參考歐盟相關文件後，完成歐盟GDPR適足性評估報告，並於同年12月中，將評估報告送交歐盟。

今年3月上旬，國發會獲得歐盟司法總署正式回應，後續雙方就個資保護相關議題展開技術性對話。國發會副主委鄭貞茂透露申請GDPR適足性認定的最新進程，他表示目前國發會與歐盟談判進展順利，希望在2020年獲得GDPR適足性認定。

一旦臺灣通過歐盟GDPR適足性認定，就可以讓臺灣境內企業，自由與歐盟間進行個資跨境傳輸。鄭貞茂表示，這對臺灣企業來說，就不用各別與歐盟申請符合GDPR規範，可以降低許多企業的成本。更多內容

AWS推出雲端量子運算服務Amazon Braket

AWS與量子硬體廠商合作，推出雲端量子運算服務Amazon Braket，圖為AWS量子電腦供應商Rigetti的產品。（Image courtesy Rigetti Computing. Photo by Justin Fantl）

在多家廠商推出雲端量子運算服務之後，AWS終於也推出了自家的量子運算產品Amazon Braket預覽版，讓用戶可以透過網際網路存取量子運算服務，與微軟的量子運算服務相似，AWS也與多個量子電腦硬體供應商合作，用戶可使用D-Wave、 IonQ以及Rigetti的量子電腦執行模擬實驗。

Amazon Braket提供全託管的Jupyter Notebooks，方便用戶建立與測試應用程式，並視覺化結果。用戶可以從頭開始設計自己的量子演算法，或是選擇預先建置的演算法，在演算法定義完成後，Amazon Braket提供模擬服務，並協助用戶排除故障與驗證。更多內容

微軟員工：現在Win 7、8.1還能免費升級Win 10

圖片來源_微軟

還記得微軟催促Windows 7及8.1用戶快點升級Windows 10，以免2017年底大限後好康不再嗎？一名自稱是微軟的員工說， Windows 7/8.1 PC至今還是可以免費升級Windows 10，因為最後期限根本不存在。

名為CokeRobot的網友在Reddit上貼文，聲稱自己在Windows 10發表前就加入微軟至今。他說，所謂一年「免費升級」期間整件事根本是行銷噱頭，高層其實不在乎Windows授權營收，並提供不違反官方規定的免費升級方法。更多內容

臺灣量子加密通訊技術新突破，專家深入剖析其系統設計與原理

攝影_羅正漢

量子運算讓傳統加密出現危機，而量子加密通訊則以量子力學原理，而非數學複雜度，來安全產生密碼或金鑰。近日，清大前瞻量子科技研究中心團隊公布研究成果，徹底解說其運作，從發送端的衰減到一顆顆光子，搭配差分移相協議，到接收端的讀出。更多內容

中國新規定上路，買SIM卡要先掃描人臉

過去幾年來，在中國購買SIM卡便已邁入了實名制，得先驗證使用者身分，但自今年12月1日起，要購買SIM卡不只要比對身分證，還得進行人臉掃描以比對長相。

中國工業和信息化部是在今年9月公布此一規定，並於12月1日實施。根據工信部的說法，這是為了加強電話用戶實名登記的管理，以維護網路空間的合法權益；藉由人臉掃描及比對，將可確保以電話連結網路的這個環節是人證一致的，電信業者必須要在每個實體據點全面實施此一措施。

這代表在中國不管是要購買或申請新的SIM卡，都必須帶著身分證並進行人臉辨識，確認身分後才能取得SIM卡。更多內容

阿瘦皮鞋建置數據銀行，用顧客資料研發新服務

阿瘦皮鞋開發動態足壓量測系統，透過將感測器嵌入鞋墊，測量顧客或社區長者行走時的腳部足壓等數據，來預測可能的健康風險以及合適的鞋墊，成為阿瘦皮鞋的重要大數據來源之一。（圖片來源_阿瘦皮鞋）

本土老牌鞋業阿瘦皮鞋，積極應對電商挑戰，推動數位轉型，不但成立數位中心、數據銀行以及大數據研究院，更自行設計大數據分析工具的課程，來培訓全體職員，以提高分析工具應用的普及率。更多內容

CWE公布2019年25大危險軟體錯誤

專門分類軟體漏洞與缺陷的「通用缺陷列表」（CWE），發布2019年最危險的25個軟體錯誤，名列第一的是在記憶體緩衝區界限內操作的不當限制。

CWE目前是由美國國土安全部旗下的科學暨技術局（S&T）負責管理，並交由非營利的研發機構MITRE經營，上一次CWE公布該列表是2011年。該列表主要彙整了最常見也最嚴重的軟體錯誤，可能導致軟體出現重大安全漏洞，被視為改善網路安全彈性的重要工具。

名列第一的錯誤編號為CWE-119。根據CWE的說明，特定語言容許直接取得記憶體區域，但並未自動確保這些記憶體緩衝區是有效的，可能造成在這些區域中的讀寫操作牽連到其它的變數、資料結構或內部程序資料，使得讀寫行為超越緩衝區界線，而讓駭客得以執行任意程式、變更控制流程、讀取機密資訊或導致系統當機。更多內容

微軟直播Azure媒體服務可為影片串流加上即時字幕

圖片來源_微軟

近期微軟針對Azure媒體服務（Media Services）新增即時語音轉錄文字的服務，開發者可以選擇在任何的即時事件，啟用即時轉錄功能，將音訊中的口語，即時地轉換成文字，強化影音串流資訊與觀眾的觀看體驗。更多內容

老牌跨平臺開發工具Qt推出擴充套件市集

跨平臺開發框架Qt Qt推出擴充套件市集，提供開發人員一個尋找API、除錯和檢查功能，甚至是加速建置工具的平台，另一方面，也提供獲利管道給擴充套件發布者或公司。更多內容

詐騙集團假冒國內企業與機關網站事件不斷，近期中華郵政、鉅亨網與經濟部相繼發出警告

圖片來源＿中華郵政

企業收到民眾通報釣魚網站並發出警告的案例增加，從11月中旬到12月初，中華郵政、鉅亨網與經濟部接連發出公告，有假冒公司網站與名義的情況，提醒民眾或用戶不要受到釣魚網站詐騙個人資料與敏感資訊。更多內容

美國要以100%關稅報復法國的數位稅

圖片來源_Jessica Barlow

法國政府通過數位服務稅，要向在當地提供數位服務的業者徵收3%的稅收，美國政府認為該政策等於歧視美國公司，打算提高特定法國商品的關稅，幅度可能高達100%，牽涉到24億美元的貿易價值。

法國主要是針對全球年營收超過7.5億歐元，在法國營收超過2,500萬歐元的企業徵收數位服務稅，可望替法國帶來5億美元的稅收，估計影響30家左右的全球企業，包括Google、蘋果、臉書與Amazon等。更多內容

微軟把Outlook.com變成漸進式網路應用程式了

有眼尖的使用者發現，微軟已經著手把Outlook.com變成PWA了，現在舉凡是使用Chrome瀏覽器、Brave瀏覽器或是Canary版Edge瀏覽器的Outlook.com用戶，都可在網址列的右邊看到一個安裝應用程式的通知。

PWA的全名為漸進式網路應用程式（Progressive Web Apps），它以類似傳統應用程式的方式呈現，有快取與通知功能，但比應用程式清爽，本質上還是個網站。Google在2017年就宣布將以漸進式網路應用程式（PWA）取代Chrome app，微軟則是從去年才開始採用漸進式網路應用程式。更多內容

Amazon Aurora內建機器學習支援

圖片來源_AWS

資料庫服務Amazon Aurora透過整合機器學習服務SageMaker和Comprehend，用戶可以直接將資料庫中儲存的結構化資料，應用在機器學習模型，而不需要額外開發應用程式，執行資料存取、格式轉換以及交付給機器學習模型等繁瑣的工作。更多內容

線上購物小心假商城App，美國前10大購物網站有超過6,000個假分身

資安業者RiskIQ指出，去年黑色星期五網路購物創下62億美元的營業額，比2017年增加近1/4，各界預期今年會再創造新的紀錄，使得駭客也打算來分食這塊大餅，因此該公司提出呼籲，消費者要小心有關的假網站與冒牌App等攻擊手法。更多內容

臺灣AI圈，最近最值得關注的一件事，就是LINE宣布要將商用AI計畫LINE Brain引進臺灣的消息（相關報導：LINE Brain明年落地臺灣，Clova Chatbot建置工具終支援中文，可能成LINE Bank重要技術基礎）。明年先用在他們內部業務上，下半年則會開放給合作SI或企業。

在臺灣擁有高滲透率和龐大用戶規模的LINE，舉凡有新的動向，都對臺灣消費市場，產生不小的影響。從即時通訊平臺，到智慧內容入口，LINE今年再次調整戰略定位，開始以AI公司自居，也將花了2年研發的AI產品，一一展示，還宣布了商用AI計畫LINE Brain，正式揮軍B2B商用AI市場，更首度公開了AI藍圖，揭露未來發展的8大方向。11月剛結束的東京開發者大會，幾乎就是LINE的AI火力大展示，要向企業和市場證明自己的AI產品實力。

隔兩周，LINE臺灣開發者活動也在臺北登場，最大的宣布就是，LINE Brain明年落地臺灣的消息。哪些產品先引進，LINE臺灣資深技術總監陳鴻嘉透露，Clova Chatbot Builder是第一項，還有語音合成、語音辨識和臉部辨識技術，而中文支援上，Clova已經有一個支援中文的NLP引擎，只是目前Naver採用韓文語料翻譯成中文後，來訓練這個NLP引擎，中文支援度還有待優化，這正是LINE臺灣工程團隊後續的任務之一。

明年下半年，LINE會將這個中文NLP引擎，先運用到臺灣的內部服務上，來累積更多本地語料。

不過，LINE臺灣不會直接開放給所有企業，而會挑選試行對象，陳鴻嘉表示，會以日常生活中的服務優先，包括食、衣、住、行類應用。

另一個LINE生態系的關鍵新平臺是，LINE Mini App應用程式發布平臺，開發者可以將原先用LINE API開發的服務，現在都直接整合到LINE上，用戶也可以透過搜尋找到這些第三方提供的App服務。這個發布平臺，讓LINE不只是第三方服務串連的集散地，更成為了部署和執行各種第三方應用的新App生態圈，再結合商用AI技術落地臺灣，明年LINE應用發展勢必可期。

除了AI動態，近期還有一個值得關注的消息，雲端龍頭AWS終於推出了雲端量子運算服務Amazon Braket（相關報導：AWS推出雲端量子運算服務Amazon Braket），這個服務類似微軟的量子運算服務，都是使用現成量子電腦硬體供應商的設備，提供給企業租用來進行量子電腦模擬實驗。與其說是量子運算服務，不如說是開始提供量子運算的實驗環境，讓有意嘗試的企業，設計自己的量子演算法，而Amazon Braket則提供模擬服務。儘管AWS也認為，量子運算還要40、50年才會進入商用市場，但國外已有不少企業想要開始嘗試。對臺灣企業來說，這也是多了一個可以試試量子電腦運算的新選擇。

臉書在本周控告ILikeAd Media，以及Chen Xiao Cong及Huang Tao，指稱它們違反了臉書的服務條款與廣告政策，盜取臉書用戶帳號以執行廣告詐騙。

根據臉書的調查，被告先是誘導使用者安裝了網路上的惡意程式，以取得這些使用者的臉書帳號，再利用這些帳號來投放廣告，藉以銷售仿冒品或減肥藥。

臉書表示，被告使用了各種不同的手法，有時是在廣告上植入了偽造的名人代言，以吸引使用者點選，而且為了躲避臉書的偵測，它們在臉書平台上提供A版廣告內容，但臉書用戶看到的卻是B版廣告。

該犯罪集團一方面挾持臉書用戶帳號，另一方面還偽裝廣告內容，通常很難究責，但臉書卻找到了後面的操盤手，而向加州法院提出告訴。

另一方面，臉書也已退款給帳號遭到冒用的臉書用戶，並協助他們保全自己的帳號安全。

來自新墨西哥大學的幾名資安研究人員在本周揭露了一個Linux漏洞，指稱此一編號為CVE-2019-14899的安全漏洞，將允許駭客挾持VPN連線，而且波及眾多基於Linux與Unix的作業系統，涵蓋Android、iOS、macOS、Ubuntu、Fedora、Debian、Arch、Manjaro、Devuan、MX Linux 19、Void Linux、Slackware、Deepin、FreeBSD與OpenBSD等。

其中的一名資安研究人員William Tolley表示，此一漏洞將讓一個鄰近網路的駭客，得以判斷是否有其他使用者連結至VPN網路，得知VPN伺服器指派給使用的虛擬IP位址，以及是否已連結到特定的網站，還能藉由計算加密封包的數量與其大小來取得精確的序列號與確認號碼，以將資料注入IPv4或IPv6的TCP串流並挾持其連線。

攻擊步驟則是先確認使用者的虛擬IP位址，利用該位址來推論有否實際連線，再以封包的加密回應來判斷實際連線的序列及確認碼，以挾持其TCP期間。

研究人員所測試的絕大多數Linux版本都含有該漏洞，特別是那些使用去年11月之後釋出的systemd的版本，因為它們關閉了反向路徑過濾機制。

除了作業系統之外，研究人員也在不同的VPN服務上測試該漏洞，顯示不論是OpenVPN、WireGuard或IKEv2/IPSec都受害，儘管並未在Tor網路上執行測試，但他們認為Tor網路是在SOCKS層上操作，且在使用空間嵌入驗證與加密機制，應該相對安全。

Tolley則建議用戶可啟用反向路徑過濾機制，並加密封包尺寸，以執行暫時性的補救。

最近半個月來，接連有國內企業或機關發出慎防釣魚網站的警告，雖然釣魚詐騙網站的問題，一直都在發生，但這樣的現象，也再次成為企業與民眾關注焦點。

例如，中華郵政在11月15日發出警告，指出接獲民眾通報，有詐騙集團假冒中華郵政公司網頁，以偽造資訊要求民眾輸入手機號碼查詢包裹，因此，中華郵政提醒民眾注意，勿被騙取手機號碼等個資。

對此事件，我們進一步詢問該釣魚網站的細節，以及事件發生經過與處理方式。根據中華郵政資訊室提供的資料，該釣魚網站的頁面內容，偽冒得極為相像，他們表示，該偽造網頁內容，疑似取自公司的歷史網頁資訊，且另外嵌入了原本網頁所沒有的輸入欄位，並標示「請輸入您的手機號碼查詢包裹信息」；而在釣魚網站的網址方面，該釣魚網站網址則與郵局網址明顯不同，並沒有將網址偽造相像的情況。

中華郵政資訊室表示，他們是在11月14日接獲民眾通報，共有兩位民眾反應這件事，因此在11月15日發布郵政消息，提醒郵寄用戶，並在11月21日發布新聞稿，呼籲社會大眾要注意，而現在該釣魚網站已經不存在。（根據他們在11月底時的回覆。）

第二起事件，是國內財經網站鉅亨網在11月18日發出警告，指出有不肖人士假冒公司網站，以名為「ANUE 鉅亨」的釣魚網站，並製作顯眼的會員登錄頁面，疑似意圖騙取使用者個人資料。對此，鉅亨網用戶暨營運部行銷經理楊鎧維表示，他們收到用戶通報有釣魚網站後，立即由資安小組偕同法務研究此假冒網站，並同步檢測公司網站與用戶資料，接著他們也發出緊急聲明，提醒用戶注意。

經他們分析，該釣魚網站只是一個登入頁面，盜用Anue鉅亨的名稱，雖網址內含anue的字串，但該公司為cnyes，且網站版型與Logo，都設計得完全不同。後續他們也持續觀察公告發布後，是否會有用戶反映遭此釣魚網站詐取資料。

值得注意的是，在12月3日經濟部也發出相關警告，指出有不肖份子假借經濟部名義，發送邀請招標的電子郵件，以及要求至網站登錄相關資訊。

對此，經濟部資訊中心表示，他們同樣是接獲民眾通報而提醒，而在這個假冒的郵件當中含有一個連結，將導向不知名的網站，為了怕不知情的民眾收到信而上當，因此發布公告提醒廠商與民眾。

無論如何，釣魚網站的問題持續發生，影響的將是不知情的民眾，因此，當企業在發現釣魚網站後，除了發布公告提醒用戶注意，像是多家業者都提到，會與法務研議採取法律行動，或是向內政部警政署165防詐騙諮詢通報。

此外，企業也可將釣魚網站的資訊，提供給其網頁代管服務供應商處理，另外也可提供給資安業者去協助阻擋。

而這些釣魚網站是如何引誘用戶上鉤？一般而言，主要管道包括電子郵件、簡訊、社交平臺與網路搜尋等。而在企業本身的網站之外，企業也要注意的是，還有一些假冒企業的類似狀況，像是假冒公司的臉書粉絲專頁，以及假冒公司LINE官方帳號。

中華郵政在11月中旬發出警告，詐騙集團假冒中華郵政公司網頁，呼籲民眾小心防範，該釣魚網頁內容相像，並嵌入了原本網頁所沒有的輸入手機號碼查詢包裹的欄位，但網址則明顯有問題。

鉅亨網在11月中旬發出聲明，指出有民眾通報有假冒公司的網站，隨後他們也發出相關聲明，提醒用戶不要被釣魚網站竊取個資。

 

經濟部在12月3日發出公告，指出有民眾通報，有不肖份子假冒經濟部名義，發送電子郵件並假稱招標事項為由，要民眾至信中連結登入相關資訊，因此經濟部資訊室提醒民眾，不要開啟這類電子郵件。

MacRumors與9to5Mac在本周引用天風國際證券（TF International Securities）的知名蘋果分析師郭明錤的投資分析報告，指出蘋果在2021年秋天發表的新一代iPhone將全面無線化，連Lightning連結埠都會被移除。

Lightning為蘋果所設計的電腦匯流排與電源連接埠，在2012年率先出現在iPhone 4上，當時的iPhone同時存在Lightning埠及3.5mm的耳機孔，但蘋果在2016年發表的iPhone 7移除了耳機孔，以單個Lightning同時作為充電及連結耳機之用，倘若郭明錤的預測成真，那麼2021年的iPhone將不會存在任何的傳輸埠。

此外，郭明錤繼於10月初預測蘋果將會在2020年第一季推出採用4.7吋螢幕的iPhone SE2之後，也在本周指出，蘋果會繼續在2021年發表iPhone SE 2 Plus。

根據郭明錤的說法，4.7吋的iPhone SE2將保留Touch ID與Home鍵的設計，而iPhone SE 2 Plus可能會是5.5吋或6.1吋的螢幕，而且採用沒有Home鍵的全螢幕設計，另在手機側邊嵌入Touch ID。

Uber在本周公布了該公司有史以來的第一份安全報告，揭露2017年與2018年在美國搭乘Uber時所發生的安全意外事件，包括車禍、人身攻擊及性騷擾/侵犯等，顯示去年Uber乘客就遭遇了3,045起性騷擾/侵犯攻擊。

2018年時，Uber在美國有13億次的載客行程，總計行駛了103億英里（166億公里），沒有任何安全問題的比例高達99.9%；而剩下的0.1%包括了9起謀殺案，3,045起性騷擾/侵犯案件，以及58起死亡車禍。

Uber把性騷擾/性侵犯案件分為5種不同程度的等級，從未經同意的身體觸碰到性侵等，其中舉報最多的是未經同意地碰觸性部位，有多達1,560件，而遭到性侵的則有235件。

另一方面，Uber也提供了全美的普遍數據供大眾比較，宣稱去年美國就有3.6萬人因車禍而喪生，2017年有2萬人被謀殺，且高達44%的美國女生都有被性騷擾/侵犯的經驗，企圖突顯Uber服務是個相對安全的環境。

不論如何，已有律師事務所正針對Uber及Lyft等共乘平台的性騷擾/侵犯事件提出控訴，認為這些平台應該要承擔乘客的安全責任。

重點新聞(1129～1205)

GAN     MarioNETte     影像生成  

變臉不必再靠GAN！韓國發表MarioNETte來以假亂真

韓國科技公司Hyperconnect發表一套新框架MarioNETte，只要幾張（甚至是單張）A臉影像，就可產生出B臉的新動態表情，打破過去生成對抗網路（GAN）的限制。研究團隊指出，過去，生成以假亂真的人臉動態表情，多半是透過GAN，將A臉的表情，合成到B臉上。由於是兩張不同的臉，GAN至少需要數分鐘的訓練資料才能完成，此外，還有可能發生身分配對錯誤、訓練資料太少而失敗的問題。

於是，團隊想出一個辦法，利用影像注意力機制和目標特徵對齊方法，在產生新影像的時候，就直接放入目標臉的特徵。此外，團隊還設計出新穎的特徵轉換器（Landmark transformer），以非監督方式調整身分配對錯誤的問題，因此不需要額外的標註資料。這個方法，只需要幾張A臉的影像，就能用來生成擁有A表情的B臉，甚至不需要微調。後來，團隊也將MarioNETte與SOTA等級的模型相比，結果顯示，在大多數測試下，MarioNETte的表現高於現有的SOTA模型。（詳全文）

 Gartner     數位分身    十大趨勢  

Gartner在臺揭露明年十大策略科技趨勢，籲CIO善用RPA與數位分身

國際研究暨顧問機構Gartner在臺揭露2020年十大策略科技趨勢預測，包括超自動化、自動化物件、專業知識全民化、透明化與可溯性 、AI安全性，以及分散式雲端、更強大的邊緣運算、人體感知強化、多重體驗，以及實用性區塊鏈等。其中，Gartner大中華地區資深合夥人龔培元建議，為進一步加深數位轉型，臺灣CIO應著重超自動化，先是利用RPA，串聯起不支援API的老舊系統，達到任務自動化後，再透過智慧企業管理系統（iBMPs），執行流程自動化。接下來，則是利用AI等技術，打造企業組織的數位分身（也就是一個虛擬的企業），再利用實際取得的營運數據，來模擬各項業務表現，再將模擬產出的資訊，作為實際營運的參考，形成數位化營運。（詳全文）

  Google     肺部病灶     裁決標籤  

Google訓練出可判讀多種肺部X光片病徵的AI，也一併釋出裁決標籤

Google日前發表深度學習模型，可判斷胸部X光片中四項臨床重要的肺部病灶，分別是氣胸、結節和腫塊、骨折以及氣腔陰影，而且判斷的精確度與放射科醫生相當。Google利用兩個未經辨識的影像資料集，包括阿波羅醫院胸部X光片，以及美國國家衛生研究院的ChestX-ray14影像資料集，總共約60萬張X光片影像。

由於數量龐大，無法人工一一標註，Google另外開發了文字深度學習模型，從去識別化的X光報告中擷取關鍵字，當作影像的加標籤，同時還由放射科醫生檢視37,000張圖片，來提高標籤品質。這個深度學習模型的精確度與放射科醫生相當，而且能發現放射科醫生一致忽略的特徵。（詳全文）

 紐約大學    乳癌       ResNet  

精準度Up！紐約大學用CNN來改善乳癌X光片判讀

紐約大學訓練深度卷積神經網路（CNN），用來判讀乳房X光片、找出病徵，其精準度還高於單個放射科醫生。為訓練乳癌判讀模型，紐約大學首先建立了乳癌篩檢資料集，內含100多萬張乳房X光片。再來，由於乳房X光片解析度高，礙於GPU記憶體限制，團隊調整了模型架構，建了一套較輕的22層ResNet模型。另外，團隊也訓練了50層的ResNet-50模型來分類圖片補丁（Patch），而非整個乳房X光照片，來偵測局部病變特徵。未來計畫將AI模型整合至乳癌篩檢流程。 （詳全文）

Nvidia    聯合學習     資料隱私  

Nvidia推出聯合學習應用程式Clara FL，可共享模型不分享患者資料

Nvidia日前在北美放射學會（RSNA）上，推出分散式AI模型訓練應用程式Clara Federated Learning（FL，聯合學習），使用者可在本地端的Nvidia EGX伺服器上執行模型訓練，而訓練好的結果，會傳送到聯合學習伺服器，與其他共同開發者分享。Nvidia指出，這個作法只會分享模型權重變動的內容，不會分享患者資料，因此能保障病患隱私。美國放射學會、麻省總醫院和加州大學洛杉磯分校附屬醫療中心等機構也將採用這個技術。（詳全文）

AWS    Kubernetes     機器學習  

AWS讓用戶以自定義資源在K8s叢集部署SageMaker機器學習

AWS機器學習服務Amazon SageMaker推出3種支援Kubernetes的Operator，可在Kubernetes叢集上部署，作為其自定義資源，來執行機器學習模型訓練、調校和預測工作。目前這項服務在美東、美西和歐洲等地提供。目前提供訓練、調校和預測3個Operators，每個Operator都可讓用戶透過Kubernetes API或kubectl等命令列工具，以原生方式建立與操作工作負載；企業工程人員也可以直接使用這些Operators，在Kubernetes中為資料科學家建構自動化程式、工具以及自定義介面，而不需維護底層的機器學習基礎設施。（詳全文）

美國能源部    HPE     AI Ops  

美國能源部要用AI Ops自動管理資料中心，鎖定異常預警和節能

美國能源部國家再生能源實驗室（NREL）宣布聯手HPE，展開AI Ops研發專案，要透過AI來自動調整資料中心的彈性復原力與能源使用率，來因應百萬兆級（Exascale）的運算需求。

這個專案為期三年，NREL要透過這個專案，在自家HPC資料中心的電力與散熱系統中，導入異常預警模型。進一步來說，NERL的兩臺超級電腦Peregrine和Eagle，以及實驗室設備中的感測器等，在過去五年收集了16TB的資料，而NREL要利用這些資料，來訓練異常偵測模型。

另一方面，NREL也將透過這個專案，來解決資料中心的用水、用電需求。美國資料中心的用電量預計在明年達到730億度（kWh），用水量也將達到1740億加侖。因此，NREL鎖定能源使用效率、水利用效率和二氧化碳利用效益等衡量指標，利用歷史資料訓練AI模型，來自動調節能源使用，來達到最佳的能源效率和永續性。（詳全文）

圖片來源／Google、Nvidia、Hyperconnect

 AI趨勢近期新聞 

1. LINE商用AI要進臺灣了

2. 甲骨文推出全球首款自主作業系統Oracle Autonomous Linux

3. AWS推出自家程式碼導師CodeGuru，替用戶揪出浪費運算資源的程式碼

4. 搶攻製造業IT、OT整合需求，IBM聯手臺灣多家SI廠商合推智慧製造整合服務

資料來源：iThome整理，2019年12月

當你所在的團隊正在解決問題時，你可以在心裡同時樹立兩個目標：一是幫助團隊做好眼前的工作；二是著眼於未來，改善團隊共同思考的方式。通常，你可以引導同事向系統性思考的理想目標邁進，這件事做起來並不容易，如果你能夠成功做到這一點，回報也是非常豐厚的。

考慮下面的例子：

幾十年前，一家小型英國公司成為了首批大規模製造陶瓷電子零件的公司之一。這家公司堅持最高的品質標準，在材料的精確混合、烤爐的溫度、加熱的時間等非常細心，在業界樹立良好口碑。多年來，這家公司一直遵循相同的製造流程，發展得非常順利。

突然，在幾個月的時間裡，這家公司的形勢急轉直下，客戶的訂單驟減。管理階層急於了解哪裡出了問題，其中一次會議是這樣進行的：

總經理：我一直擔心出現這種問題。生產線人員遲早會變懶，不再遵守生產規程。我們需要投入更多資源，來確保我們的工人遵守生產標準。

產品經理：好的，我會努力的，不過……我想我們需要考慮一下我們的價格是不是有問題，我們的員工工資非常高。

財務經理：我同意，我想我們對工會太慷慨了，我們可以重新協商協議嗎？

總經理：我們的協議為期三年，很快就會重新協商了。

行銷經理：恕我直言，我覺得問題不在產品上。其他公司的營銷預算比我們多，他們拜訪客戶的業務比我們多，這就是他們能搶走我們營業額的原因。我們需要增加業務人員。

總工程師：如果這個行業的利潤持續下降，也許我們不應該繼續投資了。我們應該把能夠節省的資源節省下來，向其他領域擴展。這項技術正在過時，我們的客戶很可能正在改用其他類型的零件。我們應該改變生產結構，生產不同的產品。

總經理：我已經聽了你們的意見，現在我想讓你們支持我的決定。我們要像以前那樣，通過堅持行業內最嚴格的產品品質標準，讓我們的產品重新奪回市場位置。我希望下星期一之前訂定出改善產品生產標準的計畫。

假如你是總工程師的助手，你的老闆帶著你參加了會議。你怎樣改善這個團隊的思考方式呢？

你很難讓別人對他們的思考方式進行思考

你需要首先想清楚自己應該做什麼，而不是試圖臨時向大家傳授系統性思考方法。你可以先進行最簡單的分析：你的同事沒有聽說過任何有組織的思考方式，不知道這樣做帶來的好處。對於這個原因，可能的解決方案有：

→我們可以接受關於系統性思考的正規培訓。

→老闆可以發給每個人一本介紹系統思考的書，讓他們自己閱讀。

→主管可以下達一條明確的指令，讓所有下屬開始系統性思考。

或者：

→在大家討論時，某個人可以提出一個問題或建議，促使大家進入系統性思考的具體步驟。

在最後一個方案中，你可以獨自行動，不需要依靠其他人的力量，因此你可以把這個方案作為出發點。

想讓一個團隊了解系統性思考方式，最簡單的方法就是引導他們有序地討論目前的問題。系統性思考方式威力無窮，大多數人很快就會看到它的好處。

有一次，一位年輕的法律學者受邀到波士頓房產事務法庭與一群公益訴訟律師討論問題。他引導大家使用圓餅圖分析問題，結果他們訂定出了一個計畫，用於請求議會改變流程。這次會議結束時，女主持人說：「謝謝你對房產事務法庭問題給予的幫助。順便問一句，你所使用的這張圖，有相關的書面材料嗎？」

如果你只是有計畫地提出引導性問題，那麼你在團隊中的位置不僅不會阻礙行動，反而會很有幫助。你也許沒有對其他人發號施令的權威，不過你完全有資格向周圍更年長、更聰明的人請教問題。

尋求資料。如果你覺得你的同事沒有收集到關於目前局面的重要資料時，你可以向他們尋求資料，讓他們將事實補充完整。

市場經理：⋯⋯這就是他們能搶走我們營業額的原因。我們需要增加業務人員。

你：打擾一下，我想我沒有那麼多的經驗，無法理解你說的是什麼意思。關於客戶不再向我們訂貨這一點，他們到底說了什麼？

總經理：問得好。誰和他們聊過天？

市場經理：開完會我就打給我在這幾家客戶公司的朋友。

你：我很想知道他們是否還在買我們生產的這種電極，如果還有的話，他們是在哪兒買的呢？

市場經理：是啊，如果他們是從別的地方購買這些產品，我們需要知道價錢，他們出的價錢可能會低一些，因為這些地方的人工成本比較低。

你：我們還需要知道別的什麼事情嗎？我會努力尋找答案的。

尋求分析。如果你向他人請教，那麼他們不會感到你在暗中批評他們不知道答案。如果你能主動尋找答案，那麼在其他人看來，你不僅提出了問題，而且提供了部分解決方案。你必須保證別人不會因為答案很難尋找就放棄一個優秀的問題。你可以引導他人對問題進行分析，而不是馬上訂定解決方案。這件事很容易做到。

市場經理：我打給格拉斯哥（Glasgow）的窗口了，他說他們以更低的價格從一家美國公司那裡購買電極。

你：我不明白為什麼他們能把價格定得比我們低。他們在哪些方面和我們做得不一樣？

財務經理：他們一定是在人力成本上佔有優勢。我們需要跟工會談談，要求他們讓步……

你：這個解釋很有道理，不過可能還有別的原因。我覺得他們在其他方面可能還有和我們不一樣的地方。

財務經理：比如說？

你：我不知道。他們的價格比我們便宜多少？

市場經理：不到我們的一半。

產品經理：我們的人工成本只佔產品價格的三分之一左右。

財務經理：也許他們的原料便宜。

產品經理：還有可能是他們控制產品品質的成本比較低。

你在提出問題時，並不需要親自回答這個問題。

分析是非常關鍵的一步。在上面的例子中，這家公司通過深入調查，發現美國的競爭對手並沒有對生產過程進行非常嚴格的控制，因此他們的裝配工廠成本非常低，而且他們生產的電極在客戶那裡也可以正常使用。

在許多情況下，準確的分析可以讓我們知道如何改進。在上面的例子中，這家公司決定減少控制生產過程的開銷，此時仍然有許多問題。想做出改變，將想法轉化成具體的「下一步」行動也許是最重要的一步。人們常常開會討論問題，進行腦力激盪，對他們的想法進行評估，而當會議結束時，他們往往不知道下次會議何時召開，下次會議之前應該完成哪些任務，誰來完成這些任務。我們在哪些方面節省成本不會影響產品品質呢？在精確的溫度監測嗎？在原材料成本嗎？

一旦度過危機，你就可以鼓勵人們思考最初問題是如何產生的。和以前一樣，你只需要提出問題就可以了。我們為什麼會在產品品質標準方面投入過多的資源？我們的思考方式出了什麼問題？為什麼我們沒有從一開始就作出更明智的選擇？

有序的思考方式非常有用，它不僅能幫助你完成個人工作，而且能幫助你改善與他人合作時的工作方式，能讓你對共同思考的理想狀態獲得清晰的認識，而且能指導你們更好地達到這一理想狀態。（摘錄整理自《橫向領導》）

橫向領導：不是主管，如何帶人成事？

羅傑．費雪、艾倫．夏普／著；劉清山／譯

日出出版

售價：380元

作者簡介

羅傑．費雪（Roger Fisher）

「哈佛談判專案中心」（Harvard Negotiation Project）創始人，在哈佛法學院教授談判課程超過四十年。曾任職於衝突管理諮詢公司和美國麻州劍橋衝突管理諮詢集團，為眾多政府部門、企業和個人提供談判服務。著有暢銷書《哈佛這樣教談判力》（Getting to Yes）。

谷歌和臉書之類的大型科技公司在這方面必須肩負起某種責任。就算它們提供的這些服務有很多是免費，它們也有義務避免讓成見永世長存。科技公司所宣揚的迷思在於，演算法中不包含無意識的人為偏見，它是超然顯示出最佳的結果。這樣的謊話讓科技大廠規避了為本身的演算法負責，並為它們免除掉了解決問題的麻煩。

谷歌的研究主管彼得．諾維格（Peter Norvig）曾表示，人類確實是很拙劣的決策者。行為經濟學家發現，我們充滿了偏見，而且屢屢會行事不理性。假如一不小心，我們所建造出的機器就會跟自己一樣帶有偏見。事實上，現今的演算法常常比人類還糟。不像人類的是，有很多演算法並不能解釋自己是如何形成決策，它們是光給答案的黑盒子。對於人類，我總是可以問他為什麼會形成特定的決策。但對於現今大部分的人工智慧，我一定要接受它所給的答案。

不道德的COMPAS

假如我們沒有採取堅決的行動來加以限制，到了2062年時，演算法的偏見將遍布各處。還有很多例子則證實了，它已經在挑戰我們的社會。我們來看一個美國的例子：北足尖（Northpointe）所發展出名為COMPAS的機器學習演算法。這是透過歷史資料來訓練，以算出遭到定罪的犯人會再度犯罪的或然率。

現在你就能用這樣的機器學習演算法來鎖定保護管束機關，並幫助最容易回籠的人遠離牢獄。我猜想，鮮少有人會不認同，這是在善用科技，它可能會使社會成為更好與更安全的地方。但COMPAS並不是這樣使用。法官是要用它來幫忙決定判刑、保釋和保護管束。不用說，這就麻煩多了。程式真的能跟有經驗的法官做出同一種決定嗎？在決定某人的刑罰時，它能考慮到人類法官會去考慮的所有細微因素嗎？

暫且假定到2062年時，我們就有電腦程式能考慮到所有這些細微因素，而且程式事實上比人類法官還準確。我們找得到正當理由來讓人類法官繼續決定判刑嗎？我們沒有道德義務要把這樣的決定交給優越的機器嗎？

這件事有個真正的爆點。調查機構ProPublica在2016年的研究中發現，COMPAS對於黑人被告會再度犯罪的預測比實際上要來得頻繁。在此同時，它對於白人會再犯的預測則不如實際上來得頻繁。於是因為程式有偏見，黑人遭到不當監禁很可能就會比白人來得久。會再犯的白人則很可能會獲釋而回到社會上。我非常懷疑北足尖的程式人員是有意讓COMPAS帶有種族偏見。但它就是有。

我們並不確知為什麼它有偏見。基於商業上的原因，北足尖拒絕透露COMPAS是如何運作的細節。這樣的遮掩心態本身就很麻煩。不過我們倒是知道，程式是透過歷史資料來訓練，而歷史資料很可能就帶有種族偏見。種族並不是輸入項目之一，但郵遞區號是。而在很多地方，這都是種族的良好替代指標。或許是警察到黑人鄰里巡邏得比較多，所以黑人比較有可能被抓到犯罪？或許是警員有種族偏見，而比較有可能對黑人攔查？或許是貧窮會引發很多犯罪，而在某些郵遞區號代表有較多窮人居住，我們等於只是在懲罰貧窮？

一旦辨認出像這樣的機器偏見，我們就能試著來消滅它。我們必須決定，讓機器學習程式的預測不帶種族偏見是什麼意思，然後確保它所受的訓練有避開這樣的偏見。只不過就算我們這麼做，該不該把這樣的決定交給機器仍有待商榷。剝奪人的自由，是社會最困難的決定之一。我們不該等閒視之。當我們把這樣的決定外包給機器時，就是交出了人性中的重要部分。

演算法歧視

如我們所見，演算法的決定可能會帶有偏見的一個原因在於，它是拿帶有偏見的資料來訓練。COMPAS程式所受的訓練是要預測誰會再犯，但卻不是拿有哪些犯人實際再犯過的相關資料來訓練。我們並不曉得誰會再犯，有些人會再犯但不會被抓到；我們所知道的只有遭到逮捕和定罪的犯人。因此，訓練資料裏或許就會含有種族和其他偏見，並反映在程式的預測上。

麻省理工學院媒體實驗室（Media Lab）的研究所研究員喬依．布奧拉姆維尼（Joy Buolamwini）創立了演算法正義聯盟（Algorithmic Justice League），來挑戰決策軟體的這種偏見。身為黑人的她發現，電腦視覺演算法在辨認她時很吃力；為了受到辨識，她甚至出招戴上了白色面具。她把帶有偏見的資料，列為這個問題的來源：在人臉辨識的社群內，你有專門針對各種演算法來顯示效能的基準資料集，使你能加以比對。有個假設是，假如在基準上表現良好，那在總體上就會表現良好。但我們卻沒有質疑過基準的代表性，所以假如我們在那個基準上表現良好，我們就會給自己錯誤的進步觀。現在來看，它似乎非常顯而易見，但在研究實驗室的工作上，我明白你要做「現場測試」，要很快把這拼湊在一起，有截止期限，我能理解這些扭曲為什麼會發生。蒐集資料不是件容易的事，尤其是多元的資料。

人臉辨識所使用的最大基準之一，是2007年所發布可公開取得的人臉辨識資料集「Labelled Faces in the Wild」（LFW）。內含一萬三千多張從網路新聞報導中所蒐集來的人臉圖像。在反映出所發布的時間下，最常見的臉就是小布希（George W. Bush）。資料集有七七．五％是男性，八三．五％是白人。非常顯而易見的是，出現在新聞裏的人並不能代表較為廣大的人口。

不過在電腦視覺的社群內，有的所使用的圖像集就比較多元了。舉例來說，在2013年所發布的「10k US Adult Faces Database」（萬張美國成人臉部資料庫）含有一萬零一百六十八張臉，在設計上完全符合美國的人口結構分布（所根據的變項像是年齡、種族和性別）。臉書則有數十億張照片可供它的DeepFace研究之用：因為註冊臉書的人幾乎個個都會上傳照片。臉書真的是非常大本的「臉書」。所以缺乏多元的訓練集是否抑制了人臉辨識，這絲毫不明朗。

還有一個簡單的因素或許會導致這樣的偏見持續下去。而且對許多好心的自由派來說，它或許比較棘手一點。有事關人類的證據是，比起來自本身所屬族群外的人，人去辨認來自本身所屬族群內的人會強得多，這稱為跨種族效應，不同的年齡群內部和之間也有類似的效應。所以人臉辨識軟體有可能正在複製這點，有一個可能的解決之道是，針對不同的種族群和不同的年齡群來訓練相異的人臉辨識演算法。

語音辨識就有個相關的現象。如果要讓男性和女性的聲音都達到良好的準確度，你就需要不同的軟體。所以同理可證，人臉辨識的種族偏見不見得是因為資料有偏見，而只是因為我們需要用不同的程式來辨識不同的臉。

2062年：哲學的黃金年代

我們在2062年可能面臨的挑戰，有很大一部分是由遠比我們要懂得思考的機器所形成的挑戰，數位人（Homo digitalis）必須去解決的挑戰。

有鑑於電腦有多一板一眼，我們在價值上必須比以往更精準，因為我們給予人工智慧系統的決定能力會衝擊到我們。到2062年時，每家大公司都會需要哲學長（Chief Philosophical Officer，CPO），以幫忙公司決定人工智慧系統要怎麼行動。而且運算倫理的學門會欣欣向榮，因為我們要考慮怎麼把系統建造成會遵照所議定的價值。

最近有朋友問我要怎麼說服孩子，上大學不要去念哲學，而要修「比較實用」的學分。我的回答是，要替他的孩子所選的科目鼓掌；在商界、政府和其他各處，我們都極度需要更多的哲學家。要是沒有他們，就不可能確保2062年時的人工智慧系統會反映出人類的價值，並且最能確保數位人比智人（Homo sapiens）更符合倫理。（摘錄整理自第六章）

2062：人工智慧創造的世界 

托比．沃爾許（Toby Walsh）／著；戴至中／譯

經濟新潮社出版

售價：400元

作者簡介

托比．沃爾許（Toby Walsh）

世界首屈一指的人工智慧專家之一，一輩子都在夢想和研究機器或可如何思考。他是新南威爾斯大學的人工智慧科學講座教授，以及澳洲科學院的院士。托比大力提倡要設限，以確保人工智慧是用來改善而不是危害我們的生活。

近年來，隨著物聯網（IoT）裝置廣受許多企業使用，能夠保護這種系統的措施，也成為各界觀注的焦點。其中，在這類裝置的防護做法之中，透過硬體安裝模組（HSM）驗證裝置，有著逐漸增加的需求。根據資安業者nCipher最近公開的報告指出，趨動企業使用公開金鑰基礎設施（PKI）的情形，因為新的應用需求而成長，而這些應用主要與物聯網有關。

這個調查報告是由nCipher委由Ponemon Institute執行。該單位針對14個國家或地區、共1,884名企業資訊人員進行訪問。針對企業應用PKI的情況，約有39%受訪者表示，最大的改變來自於外部法規和標準的要求，也有40%的受訪者認為，企業變化最大是來自物聯網這種新興應用。雖然抱持這兩種觀點的人數相近，但Ponemon Institute指出，與2015年相比，前者是從56%逐年下降，後者則是從14%上升到現在的40%，因此他們認為，物聯網應用將會左右企業採用PKI的看法。

而從應用的層面而言，該單位指出，於2015年時，企業大量在雲端應用上採用PKI，有64%受訪者認為，這種應用是首當其衝防護標的；其次則是消費型行動裝置，則有50%的人表示是企業前兩大的防護目標之一。但在今年的調查結果裡，突顯物聯網的面向已經是廣受企業重視，從2015年約2成增加到41%，相較之下，雲端應用和消費型行動裝置的比例，則減至49%與44%。

如何保護物聯網的安全？受訪者認為，確保設備資料的機密性與完整性，是現今最重要的資安防護之一。透過硬體安全模組（HSM）系統做為物聯網能夠信任的根源，也從先前的10%，成長至今年有22%之多。

Nest Hub已經將超音波測距功能，用在計時器、通勤時間和天氣顯示上，當人距離Nest Hub較遠時，Nest Hub會調整資訊顯示的方式，讓人更容易查看，接下來在一周內，Google還會將該功能擴大用在提醒、預約以及警示功能上。

Google提到，經他們的調查，年齡在65歲以上的人，有三分之一患有影響視力的疾病，而就所有年齡層來說，也有數百萬人存在視力障礙的問題。為了讓這些視力障礙的人，能夠更簡單地查看Nest Hub螢幕所顯示的資訊，因此他們設計了特別的顯示方式，讓人們可以在任何距離，都能輕鬆地查看Nest Hub上顯示的資訊，又不改變在人們靠近顯示器時，原本可以取得的資訊量以及可進行的操作。

Google利用了超音波感測技術，來感測用戶的距離，Nest Hub和Nest Hub Max會發出人類聽不見的超音波，透過超音波的回聲來判斷用戶的遠近，這種方法類似蝙蝠或是海豚的回聲定位法。當Nest Hub偵測到人們靠近裝置時，螢幕會顯示較詳細的資訊，以及可操作的觸控按鈕，當人們離裝置較遠時，螢幕會以較大的字體，顯示最重要的資訊。

經過各種文字大小、對比度以及資訊密度的測試，Nest Hub現在可以為各年齡層以及視覺障礙者，提供更容易閱讀的資訊顯示。Google提到，由於超音波感測器只在裝置上運作，也只能偵測像是用戶移動這樣的大動作，因此無法用來辨識人的身份，沒有隱私上的疑慮。

AWS發布裝置上永久型儲存庫Amplify DataStore，可讓開發者讀寫以及檢測資料的變更，並自動將本地資料與雲端同步，或是開發者也能將Amplify DataStore，單純用作網頁或是行動應用程式的獨立本地資料儲存。

AWS行動裝置與網頁應用程式開發框架Amplify Framework包含了命令列工具以及函式庫，可以讓網頁和行動應用程式開發人員簡單地取用雲端服務，Amplify支援熱門的網頁框架，諸如Angular、React和Vue，行動裝置應用程式開發則支援Swift和Java。AWS提到，開發者在開發網頁與行動應用程式時，遇到棘手的工作之一，便是跨裝置同步資料，以及處理離線操作。

在理想情況，當裝置離線的時候，使用者應該要能繼續使用行動應用程式，並且進行資料存取、創建和修改的動作，而在裝置連上網路之後，應用程式再次連接到雲端的後端服務，進行資料同步並解決可能的衝突。而要做到這件事，AWS提到，即便開發者使用AWS AppSync建立API，靈活地操作資料，並簡化應用程式的開發，但仍然需要撰寫許多程式碼來處理各種邊緣案例。

為了解決這個問題，AWS推出了Amplify DataStore，這是一個永久型的裝置儲存庫，讓開發者可以編寫、讀取和查看資料變更，並可以用來編寫存取分散式資料的應用程式，且不需要額外撰寫程式碼處理離線或是線上情境。Amplify DataStore也支援單純的離線應用，能作為網頁與行動應用程式獨立的本地端資料儲存。

當Amplify DataStor與雲端的後端服務一併使用的時候，在連接上網路後便會以AWS AppSync API同步資料，Amplify DataStore會自動使用AppSync進行資料版本控制，在雲端偵測並解決資料衝突，另外，該工具鏈還會以開發人員提供的GraphQL架構（Schema），產生特定開發語言的物件定義。

Amplify DataStore現在於所有AppSync可用的AWS地區上線，包括美東維吉尼亞北部與俄亥俄州、亞洲新加坡和東京，以及歐洲愛爾蘭和倫敦等。Amplify DataStore本身免費，但用戶需要支付後端資源像是AppSync和DynamoDB的使用。

Bytecode Alliance釋出的Wasmtime現在新增加.NET Core API，而這項更新的意思，代表開發人員將可直接在.NET程式中，載入WebAssembly程式碼。Wasmtime是小型高效能的WebAssembly Runtime，目前這個新API正在初期預覽階段。

Bytecode Alliance是Mozilla、Fastly、英特爾和紅帽共同組成的WebAssembly聯盟，要透過共同提案並實作新標準，來推動WebAssembly在瀏覽器之外的應用。Mozilla提到，之所以.NET Core已經是一個跨平臺的Runtime，仍然要支援WebAssembly，主要有3項好處，除了可跨平臺共享更多程式碼之外，還能安全地隔離不受信任程式碼，同時也能因WebAssembly介面類型（WebAssembly Interface Types），使WebAssembly和.NET可相互傳遞複雜類型。

雖然.NET可以建置跨平臺應用程式，但是要使用諸如C或是Rust等原生函式庫，卻仍然相當不方便，需要函式庫為每個平臺發布特定的函式庫版本，不過，WebAssembly卻可以扮演橋樑的角色，簡單地滿足這項需求。原生函式庫能夠先編譯成WebAssembly，則許多平臺包括.NET，就能使用這些WebAssembly模組，這將能簡化函式庫的發布以及應用程式相依於這些函式庫的方式。

由於WebAssembly是為網頁設計，而網頁是一種每次存取網站，都會執行不受信任程式碼的環境，WebAssembly模組只能呼叫從主機環境明確輸入的外部函式，而且也只能存取主機所分配的記憶體區域，而這樣的沙盒程式碼設計，也能被應用在.NET中增加程式安全性。

Mozilla提到，過去.NET Framework曾經嘗試要將不受信任程式碼沙盒化，但是最終無論是程式碼存取安全性（Code Access Security）或是應用程式域（Application Domains）等技術，都無法正確隔離程式碼，因此微軟最後在.NET Core中把沙盒移除。而透過支援WebAssembly，.NET Core也可應用沙盒執行不受信任程式碼。

另外，最近Bytecode Alliance力推的WebAssembly介面類型，增加WebAssembly與其他語言的互通性，而.NET Core也將能得到這項好處，Mozilla表示，WebAssembly介面類型簡化應用程式與WebAssembly模組間來回傳遞複雜類型所需要的黏合程式碼。當Wasmtime的.NET API最終實作介面類型，將可讓WebAssembly和.NET之間無縫地傳遞複雜類型。

Wasmtime新加入的這個.NET Core API還在預覽階段，Bytecode Alliance成員仍積極開發中，更新將不保證向後相容，目前Bytecode Alliance的第一目標是讓Wasmtime更為穩定，因此不建議開發者將Wasmtime的.NET Core API用於正式產品開發。

Google正式發布用於Android開發的SDK，這個SDK的第一個版本，主要專注於改進影格同步（Frame Pacing），讓遊戲的每秒影格數更為一致，強化遊戲體驗。

遊戲畫面顯示主要由3個部分組成，遊戲渲染、顯示子系統和底層顯示硬體。Android顯示子系統存在的目的，是要避免當顯示硬體切換影格時產生的畫面撕裂，因此顯示子系統會快取先前的影格，並偵測影格交付延遲，當影格交付延遲發生時，則顯示子系統會不斷重複顯示先前的影格。

Google表示，當遊戲渲染迴圈和底層顯示硬體渲染速度不一致時，像是以每秒30個影格運作的遊戲，試圖在原生支援每秒60個影格的裝置上執行，則最佳的顯示流程，應該要同步渲染迴圈、系統合成器以及顯示硬體的渲染。

由於許多開發人員都想挑戰行動裝置的極限，但是當遊戲渲染、OS顯示子系統和底層顯示硬體，有任何同步不協調，都可能在影格時間產生嚴重的不一致，當一個影格渲染時間太短，就會縮短前一個影格的顯示時間，相對地，當一個影格花費太長的時間渲染，則會讓前一個影格顯示時間過長。

無論是哪一個情況，玩家會在遊戲輸入和螢幕畫面更新時，感受到不一致的延遲，導致遊戲畫面無法流暢的顯示。影格同步函式庫則會使用Android上的Choreographer API，和顯示子系統進行同步，並在OpenGL和Vulkan API使用時間戳記擴充，來確保在適合的時間顯示影格，還能同步光柵避免緩衝區填補。

在裝置許可的情況下，也可以靈活地支援多種影格率，在支援60 Hz或90 Hz更新率的螢幕，即便裝置無法每秒生成60或是更多的影格，也能讓遊戲畫面降至45 FPS顯示，而非最低的30 FPS，以保持遊戲的流暢度。影格同步函式庫會預測遊戲影格速率，自動調整相對應的顯示影格速率，而且也能支援更高像是90 Hz和120 Hz的更新率，或是將更新頻率鎖定於固定的值。

影格同步函式庫現在內建於Unity 2019.2及更高版本中，只要在遊戲引擎中勾選最佳化影格同步，就能讓遊戲顯示更流暢的畫面。另外，Google也發布了影格同步函式庫二元檔案，當開發者擁有遊戲引擎原始碼，也可以自己將函式庫整合進OpenGL或Vulkan渲染器中。